И. К. Корнеев информационная безопасность и защита информации учебное пособие

Вид материала

Учебное пособие

Содержание Принципы построения разрешительной системы доступа Доступ к персональному компьютеру, серверу или рабочей станции Доступ к машинным носителям конфиденциальной информации, хранящимся вне ЭВМ, предполагает Доступ к конфиденциальным базам данных и файлам 4.5. Текущая работа с персоналом, владеющим конфиденциальной информацией Служебное расследование 4.6. Особенности увольнения сотрудников, владеющих конфиденциальной информацией

Подобный материал:

• Учебное пособие Томск 2009 Камышев Э. Н. Информационная безопасность и защита информации:, 2141.4kb.
• Программа обучения студентов (Syllabus) по дисциплине Информационная безопасность, 350.16kb.
• Сущность оп­ределяет в конечном ито­ге политику и деятель­ность в сфере защиты ин­формации., 362.11kb.
• Программа дисциплины «Информационная безопасность и защита информации» Направление, 280.62kb.
• Информационная безопасность специальных технических зданий при электромагнитных воздействиях, 489.59kb.
• Защита информации и информационная безопасность лекция 3 Основные направления и методы, 24.45kb.
• Методические указания к лабораторным занятиям Информационная безопасность и защита, 233.95kb.
• Информационная безопасность и защита информации, 23.76kb.
• Практикум по экологическому мониторингу окружающей среды Учебное пособие, 949.79kb.
• Учебно-методический комплекс по дисциплине Защита информации. Информационная безопасность, 244.66kb.

4.4. Доступ персонала к конфиденциальным сведениям, документам и базам данных

Регламентация доступа персонала к конфиденциальным сведениям, документам и базам данных является одной из центральных проблем системы защиты информации. Регламентация порядка доступа лежит в основе режима конфиденциальности проводимых фирмой работ. Важно четко и однозначно определить: кто, кого, к каким сведениям, когда и как допускает.

Режим представляет собой совокупность ограничительных правил, мероприятий, норм, обеспечивающих контролируемый доступ на определенную территорию, в помещения, к информации и документам. Любой режим базируется на так называемой разрешительной системе. Разрешительная система в общем виде предусматривает необходимость получения специального разрешения на осуществление соответствующих правовых мероприятий, например на въезд в пограничную зону, на посещение воинской части и т.п.

Разрешительная (разграничительная) система доступа в сфере коммерческой тайны представляет собой совокупность правовых норм и требований, устанавливаемых первым руководителем или коллективным органом руководства фирмой с целью обеспечения правомерного ознакомления и использования сотрудниками фирмы конфиденциальных сведений, необходимых им для выполнения служебных обязанностей.

Принципы построения разрешительной системы доступа:

• надежность, т.е. относительное исключение возможности несанкционированного доступа посторонних лиц к документам в обычных и экстремальных условиях;

• полнота охвата всех категорий исполнителей и всех категорий документов, информации на любых носителях;

• конкретность, т.е. исключение двоякого толкования и однозначность решения о доступе;

• производственная необходимость как единственный критерий доступа исполнителя к документу, а также доступа к документам представителей государственных служб;

• определенность состава и компетенции должностных лиц, дающих разрешение на доступ исполнителя к конфиденциальным сведениям, документам и базам данных, исключение возможности бесконтрольной и несанкционированной выдачи таких разрешений;

• строгая регламентация порядка работы всех категорий сотрудников фирмы с информацией, документами и базами данных. Разрешительная система решает следующие задачи:

• ограничения и регламентации состава сотрудников, функциональные обязанности которых требуют знания тайны фирмы и работы с ценными документами;

• строгого избирательного и обоснованного распределения документов и информации между сотрудниками;

• обеспечения сотрудника всем необходимым для реализации своих служебных функций (документами, делами, базами данных, информацией, техническими средствами и т.д.);

• беспрепятственного прохода сотрудника в здание фирмы, в конкретное рабочее помещение (режимную зону), к выделенному ему офисному рабочему оборудованию и компьютеру;

• исключение возможности для посторонних лиц несанкционированного ознакомления с конфиденциальной информацией в процессе работы сотрудника с документами, делами и базами данных;

• рациональное размещение рабочих мест сотрудников, при котором исключалось бы бесконтрольное использование сотрудником защищаемой информации (коллективный контроль за работой сотрудников). Разрешительная система включает в себя две составные части:

допуск сотрудника к конфиденциальной информации и непосредственный доступ этого сотрудника к конкретным сведениям.

Под допуском понимается процедура оформления права сотрудника фирмы или иного лица на доступ к сведениям (информации) ограниченного распространения и одновременно правовой акт согласия (разрешения) собственника (владельца) информации на передачу ее для работы конкретному лицу.

Оформление допуска, т.е. согласия лица на определенные ограничения в использовании информации, всегда носит добровольный характер. Наличие допуска предоставляет сотруднику формальное право работать со строго определенным кругом конфиденциальных документов, баз данных и отдельных сведений.

Как отмечалось выше, к конфиденциальной информации допускаются, как правило, лица, проработавшие в фирме определенное время и зарекомендовавшие себя с положительной стороны.

В предпринимательских структурах разрешение на допуск дает первый руководитель фирмы. Разрешение оформляется соответствующим пунктом в контракте (трудовом договоре). Допуск может оформляться приказом первого руководителя с указанием типового состава сведений, с которыми разрешается работать данному сотруднику или группе сотрудников. Допуск может носить временный характер на период выполнения определенной работы и пересматриваться при изменении профиля работы сотрудника.

Законодательством США предусмотрено, что никто не имеет права иметь допуск к засекреченной информации лишь благодаря своему чину или положению. Конечной инстанцией, решающей вопрос о необходимости допуска данному лицу, является руководитель, который распоряжается этой информацией и осуществляет за ней контроль.

Доступ — практическая реализация каждым сотрудником предоставленного ему допуском права на ознакомление и работу с определенным составом конфиденциальных сведений, документов и баз данных. Он санкционируется полномочным должностным лицом (первым руководителем, его заместителем, руководителем подразделения, службы или направления деятельности) в отношении конкретной информации и конкретного сотрудника. Право на выдачу такого разрешения строго регламентируется.

Разрешение (санкция) на доступ к конкретной информации может быть дано при соблюдении следующих условий:

• наличие подписанного приказа первого руководителя о приеме на работу (переводе, временном замещении, изменении должностных обязанностей и т.п.) или назначении на должность, в функциональную структуру которой входит работа

• с данной, конкретной информацией;

• наличие подписанного сторонами трудового договора (контракта)» имеющего пункт о сохранении тайны фирмы и подписанного обязательства о неразглашении ставших известными конфиденциальных сведений и соблюдении правил их защиты;

• соответствие функциональных обязанностей сотрудника передаваемым ему документам и информации;

• знание сотрудником требований нормативно-методических документов по защите информации и сохранении тайны фирмы;

• наличие необходимых условий в офисе для работы с конфиденциальными документами и базами данных;

• наличие систем контроля за работой сотрудника.

Особенность информационного обслуживания потребителей конфиденциальной информации заключается в том, что вопросы определения состава необходимой им информации решаются полномочным руководителем, а не самими потребителями. Существует общее, обязательное правило: исполнители, которым документ не адресован руководителем, не только не имеют права доступа к нему, но и не должны знать о существовании такого документа и исходных данных о нем.

Структура процедуры разграничения доступа должна быть многоуровневой, иерархической. Иерархическая последовательность доступа к информации реализуется по принципу «чем выше уровень доступа, тем уже круг допущенных лиц», «чем выше ценность сведений, тем меньшее число сотрудников может их знать». В фирме может составляться схема выдачи разрешений на доступ к массовой конфиденциальной информации. Такая схема разрабатывается с учетом двух аспектов: а) выдача разрешений в зависимости от категорий документов и б) выдача разрешений в зависимости от занимаемой должности. Графы схемы: категории документов, должностные лица, дающие разрешение, категории исполнителей, кому дается разрешение. В схеме отражаются также категории документов, с которыми знакомятся определенные категории исполнителей без специального разрешения.

Может составляться матрица полномочий, в которой по горизонтали — наименования категорий документов, по вертикали — фамилии или должности сотрудников.

Всю конфиденциальную информацию фирмы может знать только первый руководитель фирмы. Конфиденциальную информацию по конкретной работе в полном объеме вправе получать лишь соответствующий заместитель первого руководителя, руководители структурных подразделений или направлений деятельности по специальному перечню, утвержденному первым руководителем.

Необходимо добиваться минимизации для персонала привилегий по доступу к информации. При сбое в системе защиты информации или обнаружении факта утраты информации должно мгновенно вводиться ограничение на доступ или прекращение доступа к любой конфиденциальной информации до окончания служебного расследования.

Разграничение доступа основывается на однозначном расчленении информации по тематическим группам, уровням конфиденциальности этих групп и пользователям, которым эта информация необходима для работы. Задачей процедуры разграничения доступа является регламентация минимальных потребностей персонала в конфиденциальных сведениях.

Это дает возможность разделить знание элементов коммерческой тайны среди как можно большего числа сотрудников. Например, желательно, чтобы целиком идею, формулу, конструкцию не знал никто, каждый знал бы лишь свою незначительную часть. Дробление информации также не позволяет конкурентам использовать ее за счет прима на работу уволенного из фирмы сотрудника.

При составлении конфиденциального документа следует учитывать, что его содержание не только определяет функциональное назначение документа, но и лежит в основе разрешительной процедуры доступа персонала к данному документу. Поэтому документ необходимо посвящать только одной тематической группе вопросов, предназначенной, по возможности, одному конкретному исполнителю или структурному подразделению.

В соответствии с иерархической последовательностью доступа определяется структура рубежей защиты информации, которая предусматривает постепенное ужесточение защитных мер по иерархической вертикали возрастания уровня конфиденциальности сведений.

Этим обеспечивается недоступность этих сведений для случайных людей, злоумышленника и определяется необходимый уровень защищенности информации.

Разрешение на доступ к конфиденциальным сведениям строго персонифицировано, т.е. руководители несут персональную ответственность за правильность выдаваемых ими разрешений на доступ исполнителей к конфиденциальным сведениям, а лица, работающие с конфиденциальными документами, несут персональную ответственность за сохранение в тайне их содержания, сохранность носителя и соблюдение установленных правил работы с документами.

Руководитель фирмы имеет право давать разрешение на ознакомление со всеми видами конфиденциальных документов фирмы и всем категориям исполнителей и другим лицам. Однако целесообразно, чтобы первый руководитель оставлял за собой право распоряжаться только наиболее ценной информацией, делегируя право выдачи разрешений на доступ к другой информации нижестоящим руководителям. Следует иметь в виду, что чрезмерная централизация в выдаче разрешений на доступ к конфиденциальной информации неизбежно ведет к снижению оперативности в решении производственных вопросов. Излишняя децентрализация и либерализация создает условия для утраты ценных сведений.

Заместители первого руководителя по функциональным сферам (по науке, производственным вопросам, сбыту и др.) имеют право давать разрешение на ознакомление с конфиденциальными сведениями всем нижестоящим руководителям и исполнителям, но в пределах своей компетенции.

Руководителям структурных подразделений дается право разрешать доступ к конфиденциальным сведения всем работникам своих подразделений по тематике их работы. Руководитель подразделения может давать разрешение только непосредственно подчиненным ему сотрудникам. Для осуществления доступа к документам данного подразделения работника другого подразделения необходимо разрешение соответствующего заместителя руководителя фирмы.

Ответственные исполнители работ (направлений деятельности) имею право давать разрешение на доступ к конфиденциальной информации подчиненным им исполнителям и в пределах их компетенции. В небольших фирмах разрешение на доступ дает только первый руководитель.

Представителям государственных органов разрешение на доступ к конфиденциальным сведениям дает только первый руководитель фирмы. При необходимости доступа к конфиденциальным сведения представителей других фирм и предприятий руководствуются теми обязательствами, которые были закреплены в соответствующем договоре (контракте) на выполнение работ или услуг. Это касается как документированной информации, так и информации устной, визуальной и любой другой. В этом случае разрешение на доступ дает должностное лицо фирмы, включенное в специальный перечень, прилагаемый к договору и утвержденный первым руководителем.

Руководитель фирмы, вне зависимости от формы ее собственности, может устанавливать иные специальные или дополнительные правила доступа к конфиденциальным сведениям, документам, базам данных и носителям информации, конфиденциальным изделиям и продукции фирмы. Он несет за это единоличную ответственность.

Разрешение на доступ к конфиденциальной информации всегда дается полномочным руководителем только в письменном виде: резолюцией на документе, приказом, утверждающим схему именного или должностного доступа к конкретным группам информации, утвержденным руководителем списком-разрешением на обложке дела, списком ознакомления с документом и т.п.

Без дополнительного разрешения допускаются к документам: их исполнители (если они продолжают работать по той же тематике) и лица, визировавшие, подписавшие, утвердившие документ. Без специального разрешения могут допускаться также лица, указанные в тексте распорядительных документов. Если сотрудник допускается только к части документа, то в разрешении (резолюции) четко указываются конкретные пункты, разделы, страницы, приложения, с которыми он может ознакомиться. Сотрудник службы конфиденциальной документации (КД) обязан принять необходимые меры по исключению возможности ознакомления исполнителя с другими частями документа.

Разрешение на доступ к конфиденциальным сведениям представителя другой фирмы или предприятия оформляется резолюцией полномочного должностного лица на предписании (или письме, обязательстве), представленном заинтересованным лицом. В резолюции должны быть указаны конкретные документы или сведения, к которым разрешен доступ. Одновременно указывается фамилия сотрудника фирмы, который знакомит представителя другого предприятия с этими сведениями и несет ответственность за его работу - в помещении фирмы.

Следует соблюдать правило, по которому регистрируются все лица, имеющие доступ к определенным документам, коммерческим секретам. Это позволяет на высоком уровне осуществлять информационное обеспечение аналитической работы по выявлению возможных каналов утраты информации.

При организации доступа сотрудников фирмы к конфиденциальным массивам электронных документов, базам данных необходимо помнить о его многоступенчатом характере. Можно выделить следующие главные составные части:

• доступ к персональному компьютеру, серверу или рабочей станции;

• доступ к машинным носителям информации, хранящимся вне ЭВМ;

• непосредственный доступ к базам данных и файлам.

Доступ к персональному компьютеру, серверу или рабочей станции, которые используются для обработки конфиденциальной информации, предусматривает:

• определение и регламентацию первым руководителем фирмы состава сотрудников, имеющих право доступа (входа) в помещение, в котором находится соответствующая вычислительная техника, средства связи;

• регламентацию первым руководителем временного режима нахождения этих лиц в указанных помещениях; персональное и временное протоколирование (фиксирование) руководителем подразделения или направления деятельности фирмы наличия разрешения и периода работы этих лиц в иное время (например, в вечерние часы, выходные дни и др.);

• организацию охраны этих помещений в рабочее и нерабочее время, определение правил вскрытия помещений и отключения охранных технических средств информации и сигнализирования; определение правил постановки помещений на охрану; регламентацию работы указанных технических средств в рабочее время;

• организацию контролируемого (в необходимых случаях пропускного) режима входа в указанные помещения и выхода из них;

• организацию действий охраны и персонала в экстремальных ситуациях или при авариях техники и оборудования помещений;

• организацию выноса из указанных помещений материальных ценностей, машинных и бумажных носителей информации; контроль вносимых в помещение и выносимых персоналом личных вещей.

Несмотря на то, что по окончании рабочего дня конфиденциальные сведения должны быть перенесены на гибкие носители и стерты с жесткого диска компьютера, помещения, в которых находится вычислительная техника, подлежат охране. Объясняется это тем, что, во-первых, в неохраняемый компьютер легко установить какое-либо средство промышленного шпионажа, во-вторых, злоумышленник может с помощью специальных методов восстановить стертую конфиденциальную информацию на жестком диске (произвести «уборку мусора»).

Доступ к машинным носителям конфиденциальной информации, хранящимся вне ЭВМ, предполагает:

• организацию учета и выдачи сотрудникам чистых машинных носителей информации;

• организацию ежедневной фиксируемой выдачи сотрудникам и приема от сотрудников носителей с записанной информацией (основных и резервных);

• определение и регламентацию первым руководителем состава сотрудников, имеющих право оперировать конфиденциальной информацией с помощью компьютеров, установленных на их рабочих местах, и получать в службе КД учтенные машинные носители информации;

• организацию системы закрепления за сотрудниками машинных носителей информации и контроля за сохранностью и целостностью информации, учета динамики изменения состава записанной информации;

• организацию порядка уничтожения информации на носителе, порядка и условий физического уничтожения носителя;

• организацию хранения машинных носителей в службе КД в рабочее и нерабочее время, регламентацию порядка эвакуации носителей в экстремальных ситуациях;

• определение и регламентацию первым руководителем состава сотрудников не сдающих по объективным причинам технические носители информации на хранение в службу КД в конце рабочего дня, организацию особой охраны помещений и компьютеров этих сотрудников. Работа сотрудников службы КД и фирмы в целом с машинными носителями информации вне ЭВМ должна быть организована по аналогии с бумажными конфиденциальными документами.

Доступ к конфиденциальным базам данных и файлам является завершающим этапом доступа сотрудника фирмы к компьютеру. И если этот сотрудник — злоумышленник, то можно считать, что самые серьезные рубежи защиты охраняемой электронной информации он успешно прошел. В конечном счете он может просто унести компьютер или вынуть из него и унести жесткий диск, не «взламывая» базу данных.

Обычно доступ к базам данных и файлам подразумевает:

• определение и регламентацию первым руководителем состава сотрудников, допускаемых к работе с определенными базами данных и файлами; контроль системы доступа администратором базы данных;

• именование баз данных и файлов, фиксирование в машинной памяти имен пользователей и операторов, имеющих право доступа к ним;

• учет состава базы данных и файлов, регулярную проверку наличия, целостности и комплектности электронных документов;

• регистрацию входа в базу данных, автоматическую регистрацию имени пользователя и времени работы; сохранение первоначальной информации;

• регистрацию попытки несанкционированного входа в базу данных, регистрацию ошибочных действий пользователя, автоматическую передачу сигнала тревоги охране и автоматическое отключение компьютера;

• установление и нерегулярное по сроку изменение имен пользователей, массивов и файлов (паролей, кодов, классификаторов, ключевых слов и т.п.), особенно при частой смене персонала;

• отключение ЭВМ при нарушениях в системе регулирования доступа или сбое системы защиты информации;

• механическое (ключом или иным приспособлением) блокирование отключенной, но загруженной ЭВМ при недлительных перерывах в работе пользователя. Коды, пароли, ключевые слова, ключи, шифры, специальные программные продукты, аппаратные средства и т.п. атрибуты системы защиты информации в ЭВМ разрабатываются, меняются специализированной организацией и индивидуально доводятся до сведения каждого пользователя работником этой организации или системным администратором. Применение пользователем собственных кодов не допускается.

Следовательно, процедуры допуска и доступа сотрудников к конфиденциальной информации завершают процесс включения данного сотрудника в состав лиц, реально владеющих тайной фирмы. С этого времени большое значение приобретает текущая работа с персоналом, в распоряжении которого находятся ценные и конфиденциальные сведения.

4.5. Текущая работа с персоналом, владеющим конфиденциальной информацией

По мнению большинства специалистов по безопасности информационных систем, главное внимание должно быть обращено на персонал, постоянно работающий с конфиденциальными документами и базами данных. Основными задачами должны быть две: 1) максимально затруднить работу злоумышленнику или его сообщнику по добыванию необходимой информации, противодействовать им в пассивном или активном режиме на основе результатов аналогичных выводов и 2) не допустить установления определенных взаимоотношений злоумышленника и сотрудника фирмы, владеющего конфиденциальной информацией.

Текущая работа с персоналом, обладающим конфиденциальной информацией, включает в себя:

• обучение и систематическое инструктирование сотрудников;

• проведение регулярной воспитательной работы с персоналом, работающим с конфиденциальными сведениями и документами;

• постоянный контроль за выполнением персоналом требований по защите конфиденциальной информации;

• контрольную работу по изучению степени осведомленности персонала в области конфиденциальных работ фирмы;

• проведение служебных расследований по фактам утечки информации и нарушений персоналом требований по защите информации;

• совершенствование методики текущей работы с персоналом.

Процесс обучения сотрудников фирмы правилам защиты информации должен быть постоянным, так как система защиты требует регулярного обновления и видоизменения. Занятия не должны превращаться в редкие, необязательные и формальные собрания.

Обучение сотрудника начинается с момента проведения собеседования с ним при приеме на работу и подписания им обязательства о неразглашении тайны и кончая моментом увольнения и подписания этим лицом обязательства о недопустимости использования конфиденциальных сведений в чьих-либо целях. Обучение сотрудников может начинаться также с момента начала работы коллектива над новой идеей, оцененной в качестве фирменного секрета, работы с использованием ноу-хау и т.п. Обычная периодичность обучения для работающих сотрудников один раз в 3—5 лет, как правило, после аттестации или перезаключения контракта.

Задачи обучения включают в себя изучение:

• характера и состава конфиденциальной информации;

• возможных угроз конфиденциальным сведениям, каналов их объективного распространения и каналов утраты, методов работы злоумышленников;

• структуры системы защиты, требований и правил защиты конфиденциальной информации;

• порядка работы сотрудников с конфиденциальными сведениями, документами и базами данных;

• действий персонала в конкретных экстремальных ситуациях.

Обучение сотрудников предполагает приобретение и поддержание на высоком уровне производственных навыков работы с конфиденциальными сведениями, психологическое воспитание сотрудников и воспитание глубокой убежденности в необходимости выполнения требований по защите любой конфиденциальной информации. Персонал должен получить знания по оценке важности тех или иных сведений для упрочения престижа фирмы и ее финансовой стабильности, а значит, и для благополучия каждого сотрудника.

Методика обучения включает в себя:

• специализированные программы обучения для обеспечения лекционных курсов и практических занятий;

• проведение лекций, семинаров и собеседований как общеознакомительного плана, так и по конкретным направлениям защиты; тестирование сотрудников;

• решение ситуационных задач, связанных с выполнением необходимых требований по защите конфиденциальной информации;

• практическую ситуационную учебу по действиям персонала в экстремальных ситуациях;

• проведение деловых игр, обучающих методам противодействия замыслам злоумышленника.

Очень важно сделать процесс обучения индивидуализированным. Он должен быть конкретизирован по должностному составу сотрудников, по типовым рабочим местам и часто — по отдельным сотрудникам. В процессе обучения сотрудник должен получить только те знания, которые ему необходимы для работы. Избыточности знаний в области состава конфиденциальной информации и способов ее защиты не должно быть. Отдельно от остального персонала обучаются сотрудники службы безопасности, секретарь-референт, сотрудники, работающие с особо ценными документами, делами и изделиями.

Информация, сообщаемая в процессе обучения сотрудников, является строго конфиденциальной. Конспекты, записи сотрудники делают в специальных тетрадях, хранящихся в соответствии с общим порядком работы с конфиденциальными документами.

По окончании обучения проводится проверка усвоения сотрудниками полученных знаний. Результаты проверки фиксируются в протоколе комиссии, ведущей проверку. Целесообразно организовывать проверку знаний путем тестирования или решения ситуационной задачи. Сотрудники, не прошедшие проверку знаний, от работы с конфиденциальной информацией отстраняются.

Одновременно с обучением должны проводиться регулярные совещания-инструктажи с сотрудниками. В процессе инструктажа:

• до сведения сотрудников доводятся изменения и дополнения, внесенные в действующие нормативно-методические документы по защите информации, приказы и указания руководства фирмы в области защиты информации и информационной безопасности;

• сотрудники информируются о конкретных угрозах информации, о каналах утечки информации, действиях злоумышленников, принятых дополнительных мерах по защите информации;

• анализируются случаи нарушения правил защиты информации сотрудниками, сообщается о фактах утраты секретов по вине сотрудников.

Инструктаж, так же как и обучение, проводится индивидуально, информация, сообщаемая на инструктажах, разглашению не подлежит. Совещания-инструктажи проводятся, как правило, по необходимости.

Следовательно, обязательной и первостепенной частью текущей работы с персоналом должно стать обучение сотрудников правилам работы с конфиденциальной информацией, документами и базами данных. Трудно говорить об эффективности работы с персоналом, если сотрудники не имеют достаточно твердых представлений о системе защиты конфиденциальной информации, методах противодействия злоумышленникам.

Обучение и инструктаж находится в тесной связи с процессом воспитания сотрудников, направленным на то, чтобы привить им устойчивые мотивационные стереотипы поведения в той или иной ситуации, связанной с обеспечением недоступности информации посторонним лицам, исключением возможности несанкционированного доступа этих лиц к ценным и конфиденциальным сведениям.

Воспитание — это процесс систематического и целенаправленного воздействия на формирование и развитие личности в целях наиболее полного использования ее профессиональных способностей, деловых, высоких моральных и иных положительных качеств для деятельности фирмы, повышения ее благополучия и конкурентоспособности. Воздействие на личность осуществляется руководством фирмы в процессе обучения и инструктажа сотрудников, коллективом фирмы в процессе решения совместных производственных и иных задач и отдельными сотрудниками фирмы в неформальной обстановке.

Воспитательный процесс тесно связан с исследованием мотиваций в поведении человека. Функция мотивации поведения, мышления и действий персонала в различных ситуациях и жизненных обстоятельствах имеет существенное значение в управлении персоналом, особенно если его деятельность связана с владением ценными и конфиденциальными сведениями.

Мотивация деятельности человека понимается как совокупность движущих сил, побуждающих человека к осуществлению определенных действий. Эти силы находятся вне или внутри человека и заставляют его осознанно, или неосознанно совершать определенные поступки. В соответствии с этим текущая или профилактическая работа с персоналом является обязательной составной частью предотвращения попыток отдельных сотрудников воспользоваться в личных целях ценной для фирмы информацией, нарушить требования обеспечения информационной безопасности фирмы. Каждый из сотрудников фирмы, работающий с закрытыми сведениями, документами и базами данных, должен находиться под постоянным наблюдением руководства и коллектива фирмы, оценивающих степень его лояльности по отношению к делам фирмы. Со своей стороны фирма обязана обеспечить любому сотруднику необходимые условия труда и отдыха, постоянно заботиться о его благополучии, повышении квалификации и поддержании на высоком уровне интереса к выполняемым обязанностям и работам. Между руководством и сотрудниками не может быть глухой стены непонимания стоящих задач. Все дела фирмы должны быть важны для коллектива в целом и для каждого отдельного сотрудника. Достигается это сложным и длительным процессом индивидуального воспитания сотрудников на основах взаимного доверия, взаимопонимания и заботы. Руководители всех рангов несут персональную ответственность за качество этой работы.

В основе воспитательной работы с персоналом фирмы должны лежать не пустые словесные увещевания о необходимости хорошо работать и грядущем благополучии для всего персонала. Дальновидные руководители серьезных фирм под воспитательной работой подразумевают прежде всего создание реально здорового психологического климата в коллективе фирмы, позволяющего объединить осознанные усилия персонала на решение стоящих перед фирмой задач и преодоление возникающих трудностей.

Здоровый психологический климат в коллективе фирмы создает трудно преодолимый барьер на пути любого злоумышленника, который пытается получить конфиденциальные сведения.

Для сотрудника фирмы часто важен не столько оклад, который он получает, сколько та доброжелательная обстановка, которая существует в коллективе, уверенность в том, что его уважают как специалиста, ценят его упорный труд и он может надеяться на продвижение по службе. При формировании здорового психологического климата решаются следующие задачи:

• создание действенной системы стимулирования труда персонала;

• обеспечение долговременной работы в фирме каждого сотрудника;

• формирование отношения к сотрудникам как самостоятельным членам коллектива, участие персонала в выработке решений;

• справедливое участие персонала в прибылях фирмы;

• реализация на практике гибкой, нетравмируемой системы увольнений;

• расстановка кадров в соответствии с их способностями;

• главенство в отношениях руководства и сотрудников духа коллективизма.

При хорошем психологическом климате сотрудники, доброжелательно относятся к любым ограничениям, связанным с функционированием системы защиты информации, добровольно, с пониманием важности выполняют все требования этой системы.

Здоровый психологический климат должен включать в себя следующие основные элементы:

• постоянное изучение и анализ комплекса качеств каждого сотрудника фирмы, т.е. знание каждого сотрудника в отдельности, а не абстрактная воспитательная работа с коллективом;

• строгое выполнение пунктов и положений коллективного договора;

• создание реальных условий для продвижения сотрудников по службе или повышение оклада с учетом их трудовых достижений, а не по иным причинам;

• оплата фирмой обучения или переподготовки способных и ценных для фирмы сотрудников;

• строгое выполнение администрацией норм по технике безопасности и охране труда, создание наилучших условий для работы сотрудников и их отдыха;

• организация благоприятных условий для проведения отпусков и выходных дней сотрудников;

• своевременное выявление неформальных лидеров в коллективе, выдвижение их на руководящие должности или перевод в другие подразделения (при их отрицательном влиянии на коллектив — увольнение);

• заинтересованное соучастие администрации фирмы в решении сотрудниками своих личных и бытовых затруднений;

• охрана персонала, гарантия юридической и физической защиты в случае попыток криминальных действий злоумышленника по отношению к ним, их родственникам и близким людям.

Процесс обучения и воспитания сотрудников фирмы должен завершаться контролем работы персонала с конфиденциальной информацией и документами. Важен контроль защиты ценной информации от недобросовестных посягательств отдельных сотрудников.

Превентивный контроль работы персонала предполагает прежде всего наличие в фирме строгого учета степени осведомленности каждого сотрудника в фирменных секретах. В данном случае учет создает информационную базу не только для облегчения контрольной функции, но и для аналитических исследований по обнаружению каналов утраты защищаемой информации.

Следует соблюдать правило, по которому в обычном принудительном режиме регистрируются все лица, имеющие доступ к определенным документам, базам данных и носителям коммерческих секретов. Одновременно подлежат специальному (экстремальному) учету все замеченные несанкционированные или ошибочные действия персонала с документами и информацией, нарушения системы доступа к информации и правил работы с конфиденциальными документами и базами электронных данных. Подобные факты подлежат оперативному, тщательному сравнительному анализу, а результаты анализа должны докладываться непосредственно первому руководителю фирмы.

Регулярный и своевременный учет состава конфиденциальной информации, известной каждому из сотрудников фирмы, является наиболее информативной частью контрольной работы. Учитываются любые контакты любого сотрудника с конфиденциальными сведениями, в том числе санкционированные, а также случайное, несанкционированное ознакомление с информацией, к которой сотрудник не имеет доступа, в том числе несанкционированное ознакомление с конфиденциальной информацией сотрудников, вообще не имеющих доступа к подобной информации.

Традиционная (карточная) или электронная учетная форма должна содержать ряд предметных зон, позволяющих сопоставлять функциональные обязанности сотрудника и состав конфиденциальной информации, полученной сотрудником, который должен соответствовать выполняемым видам работы. Целесообразно включить;

в учетную форму следующие зоны:

• зону штатных функциональных обязанностей сотрудника, при реализации которых используется конфиденциальная информация (по утвержденной должностной инструкции);

• зону изменений и дополнений, внесенных в функциональные обязанности сотрудника, с указанием документа-основания, его даты и фамилии руководителя, подписавшего документ;

• зону стандартного состава конфиденциальных сведений и их индексов (по перечню конфиденциальной информации), к которым допущен сотрудник в соответствии с должностной инструкцией (с указанием наименования документа о допуске, его даты, номера и фамилии руководителя, подписавшего документ);

• зону изменений и дополнений в составе конфиденциальных сведений и их индексов по перечню, к которым допускается сотрудник в связи с пересмотром его должностных обязанностей (с указанием наименований и дат документов о допуске, фамилий руководителей, подписавших документы);

• зону документированной информации (документов), с которой знакомится или работает сотрудник, с указанием наименований документов, их дат и номеров, краткого содержания, целевого использования содержащихся в документах конфиденциальных сведений и их индексов по перечню, фамилий руководителей, разрешивших работу с документами;

• зону недокументированной конфиденциальной информации, которая стала известна сотруднику, с указанием даты и цели ознакомления, фамилии руководителя, разрешившего ознакомление, состава конфиденциальных сведений и их индексов по перечню;

• зону обнаруженного несанкционированного ознакомления сотрудника с конфиденциальной информацией с указанием даты ознакомления, условий или причин ознакомления, фамилии виновного сотрудника, места ознакомления, состава конфиденциальных сведений и их индексов по перечню. Анализ осуществляется сравнением содержания записей в зонах и индексов известной сотруднику конфиденциальной информации, т.е. ведется поиск несоответствия.

Следовательно, главным фактором воспитания у сотрудников фирменной гордости, ответственного отношения к выполнению своих служебных обязанностей является прежде всего упорная работа руководства фирмы по формированию здорового психологического климата в коллективе. Работник, ответственно относящийся к своей работе и участвующий в делах и прибылях фирмы, как правило, также ответственно относится к сохранению конфиденциальности тех работ, которые ведет фирма, строго соблюдает требования информационной безопасности и защиты информации.

Основными формами контроля качества работы персонала, повышения ими своих профессиональных знаний, в том числе в части защиты информации, можно назвать следующие:

• аттестация сотрудников;

• отчеты руководителей подразделений о работе подразделений и состоянии системы защиты информации;

• регулярные проверки руководителем фирмы или службой безопасности соблюдения сотрудниками требований по защите информации;

• самоконтроль сотрудников.

Аттестация сотрудников представляется одной из наиболее эффективных форм контроля их деятельности как в профессиональной сфере, так и в сфере соблюдения информационной безопасности фирмы. Аттестация персонала — это коллективная форма оценки профессиональной пригодности сотрудника, его соответствия занимаемой должности. Аттестация проводится периодически (ежеквартально, раз в год и иные сроки).

При проведении аттестации рассматриваются следующие характеристики сотрудника: трудовая дисциплина, исполнительность, трудолюбие, ответственность, требовательность и принципиальность, организованность в работе, качество и эффективность выполняемой работы, самостоятельность и инициатива, творческая деятельность, прогрессивность профессиональных решений, профессиональный кругозор, умение общаться с людьми, организаторские способности, преданность делу фирмы. В части соблюдения сотрудничаем требований защиты информации рассматриваются такие характеристики, как знание нормативных и инструктивных документов по защите информации, умение применять требования этих документов в практической деятельности, отсутствие нарушений в работе с конфиденциальными документами, умение общаться с посторонними лицами, не раскрывая секреты фирмы, и т.д. На основе изучения этих характеристик формируется представление о каждом сотруднике, его деловых и человеческих качествах.

По результатам аттестации издается приказ (распоряжение), в котором отражаются решения аттестационной комиссии о поощрении, переаттестации, повышении в должности или увольнении сотрудников. Аттестационная комиссия может также выносить решение об отстранении сотрудника от работы с информацией и документами, составляющими тайну фирмы.

Одна из форм контроля — заслушивание руководителей структурных подразделений и руководителя службы безопасности на совещании у первого руководителя фирмы о состоянии системы защиты информации и выполнении ее требований сотрудниками подразделений. Одновременно на совещании принимаются решения по фактам нарушения сотрудниками этой системы.

Формой контроля являются также регулярные проверки выполнения сотрудниками (в том числе хорошо работающими) правил работы с конфиденциальной информацией, документами и базами данных. Проверки проводятся руководителями структурных подразделений и направлений деятельности фирмы, заместителями первого руководителя, работниками службы безопасности. Одновременно с соблюдением сотрудником правил работы с конфиденциальными документами проверяется наличие у этого сотрудника числящихся за ним документов, носителей информации, дел, магнитных носителей информации; электронных массивов информации, изделий и иных элементов, составляющих тайну фирмы.

Проверки могут быть плановыми, внеплановыми (внезапными), Внезапные проверки проводятся при возникновении малейшего подозрения о разглашении или утечке информации.

Самоконтроль сотрудников фирмы состоит в проверке самими руководителями и исполнителями полноты и правильности выполнения ими действующих инструктивных положений, а также в немедленном информировании непосредственного руководителя и службу безопасности о фактах утери документов, утрате по какой-либо причине ценной информации, разглашении лично или другими сотрудниками сведений, составляющих тайну фирмы, нарушении сотрудниками порядка защиты информации.

При работе с персоналом фирмы следует сосредоточивать внимание не только на сотрудниках, работающих с конфиденциальной информацией. Под контролем должны находиться также лица, не имеющие доступа к тайне фирмы. Можно предполагать, что эти сотрудники могут быть посредниками в действиях злоумышленника: в проведении электронного шпионажа, создании условий для хищения документов, снятии с них копий и т.п.

Кроме того, нужно учитывать, что сотрудники фирмы, работающие с конфиденциальной информацией, вынуждены действовать в рамках требований, регламентированных инструкцией по обеспечению режима конфиденциальности. Ограничение свободы человека может приводить к стрессам, нервным срывам. Сохранение чего-то в тайне противоречит потребности человека в общении путем обмена информацией. В связи с этим психологический настрой коллектива и отдельных сотрудников всегда должен находиться в центре внимания руководства фирмы.

В случае установления фактов невыполнения сотрудниками требований по защите информации к ним должны в обязательном порядке и своевременно применяться меры порицания и наказания в соответствии с правилами внутреннего трудового распорядка: объявление выговора, понижение в должности, лишение премии, отстранение от работы с конфиденциальной информацией, увольнение.

Важно, чтобы наказание было неотвратимым и своевременным невзирая на должностной уровень сотрудника.

Следует учитывать, что ответственность за разглашение сведений, составляющих тайну фирмы, в первую очередь несут руководители фирмы и ее структурных подразделений, направлений деятельности, филиалов, так как они полностью отвечают за разработку и реализацию мер, обеспечивающих информационную безопасность всех видов деятельности фирмы.

Факт утраты информации выявляется в основном посредством анализа публикаций, рекламы, выставочных и других материалов фирм-конкурентов. В этом случае анализируются карточки учета осведомленности сотрудников в тайне фирмы и выявляется круг сотрудников, владеющих утраченной информацией. Анализ ведется в рамках служебного расследования.

Служебное расследование организуется по фактам разглашения или утечки информации, утраты документов и изделий, другим грубым нарушениям правил защиты информации. Расследование проводится специальной комиссией, формируемой приказом первого руководителя фирмы. Расследование предназначено для выяснения причин, всех обстоятельств и их последствий, связанных с конкретным фактом установления круга виновных лиц, размера причиненного фирме ущерба. Все мероприятия обязательно документируются.

План проведения служебного расследования:

• определение возможных версий случившегося (утрата, хищение, уничтожение по неосторожности, умышленная передача сведений, неосторожное разглашение и т.д.);

• определение (планирование) конкретных мероприятий по проверке версий (осмотр помещений, полистная проверка документации, опрос сотрудников, взятие, письменного объяснения у подозреваемого лица и т.д.);

• назначение ответственных лиц за проведение каждого мероприятия;

• указание сроков проведения каждого мероприятия;

• определение порядка документирования;

• обобщение и анализ выполненных действий по всем мероприятиям;

• установление причин утраты информации, виновных лиц, объема ущерба для фирмы;

• передача материалов служебного расследования с заключительными выводами первому руководителю фирмы для принятия решения.

Служебное расследование проводится в кратчайшие сроки в ходе служебного расследования обычно анализируются следующие виды документов:

• письменные объяснения опрашиваемых лиц, составляемые в произвольной форме;

• акты проверки документации и помещений, где указываются фамилии лиц, проводивших проверку, их должности, объем и виды проведенного осмотра, результаты, указываются подписи этих лиц и дата;

• другие документы, относящиеся к расследованию (справки, заявления, планы, анонимные письма и т.д.). По результатам анализа составляется заключение о результатах проведенного служебного расследования, в котором подробно описывается проведенная работа, указываются причины и условия случившегося, определяются виновные лица, даются рекомендации по предотвращению в будущем подобных фактов. Вопрос о наказании виновных лиц ставится только после завершения служебного расследования, мера наказания определяется лично первым руководителем фирмы. При подтверждении факта передачи сотрудником информации постороннему лицу фирма должна обратиться в суд для вынесения решения о возмещении материального ущерба от кражи информации.

Следовательно, рекомендуемые направление и методы текущей работы с персоналом фирмы позволяют организовать эффективную систему заинтересованного участия сотрудников в обеспечении безопасности фирменных секретов, постоянного контроля за работой персонала с конфиденциальной информацией и своевременного выявления попыток злоумышленника завладеть интеллектуальной собственностью фирмы.

4.6. Особенности увольнения сотрудников, владеющих конфиденциальной информацией

Стабильность кадрового состава является важнейшей предпосылкой надежной информационной безопасности фирмы. Миграция специалистов — самый трудно контролируемый канал утраты ценной и конфиденциальной информации. Вместе с тем полностью избежать увольнений сотрудников не представляется возможным. Необходим тщательный анализ причин увольнения, на основе которого составляется и реализуется программа, исключающая эти причины. Например, повышение окладов, аренда жилья для сотрудников вблизи фирмы и оздоровление психологического климата, увольнение руководителей, злоупотребляющих своим служебным положением, и др.

Технологическая цепочка увольнения сотрудника включает в себя:

• написание сотрудником заявления об увольнении с подробным раскрытием причины увольнения и желательно указанием места предполагаемой работы;

• передача заявления руководителю структурного подразделения для оформления и передачи в отдел кадров или службу персонала;

• прием службой конфиденциальной документации от увольняющегося сотрудника всех числящихся за ним документов, баз данных, носителей информации, изделий, материалов, с которыми он работал, проверка их комплектности, полноты и оформление приема в описи исполнителя или актом;

• сдача сотрудником пропуска (идентификатора) для входа в рабочую зону, всех ключей и печатей, запрещение сотруднику входить в рабочее помещение с использованием знания шифра кодового замка (при необходимости — изменение кода);

• проведение сотрудником службы безопасности или службы персонала беседы с сотрудником с целью напоминания ему об обязательстве сохранения в тайне тех сведений, которые ему были доверены по службе в фирме, предупреждение сотрудника о запрещении использования этих сведений в интересах конкурента или в личных целях, выяснение причины увольнения и места новой работы;

• подписание сотрудником обязательства о неразглашении им конфиденциальных сведений после увольнения;

• документальное оформление увольнения в соответствии с общими правилами;

• прием от сотрудника пропуска для входа в здание фирмы, выдача ему трудовой книжки и расчета по заработной плате, сопровождение его до выхода из здания сотрудником службы безопасности.

После сдачи всех документов и материалов сотруднику запрещается входить в режимную рабочую зону. При необходимости у него может быть изъят пропуск (идентификатор) сотрудника и выдан идентификатор посетителя с правом входа только в определенные административные помещения.

Беседа с увольняющимся сотрудником имеет целью предотвратить утрату информации или ее неправильное использование бывшим сотрудником в результате его природной или умышленной забывчивости. Следует напомнить увольняющемуся сотруднику, что он подписывал при поступлении на работу обязательство (подписку) о неразглашении фирменных секретов.

Ему напоминают, что и после увольнения из фирмы по крайней мере в течение года за его деятельностью будет осуществляться наблюдение. Предупреждение включается в обязательство, которое подписывает увольняющийся сотрудник.

В практике США аналогичный порядок рекомендуется применять в отношении консультантов, экспертов и временно работавших сотрудников. По крайней мере от них целесообразно в обязательном порядке потребовать письменное обязательство о неразглашении ставших известными им фактов и сведений, запрещении использования их в своей деятельности или работе конкурирующих фирм в течение определенного времени.

Эффективным средством против разглашения фирменных секретов в США считается заключение соглашения о предоставлении увольняющимся сотрудником консультационных услуг фирме в течение ряда лет. В течение этого времени, т.е. срока конфиденциальности известных ему сведений, ему выплачивается жалованье, близкое по размерам к зарплате. В результате бывший сотрудник противостоит соблазну использовать тайну фирмы в своих интересах.

Ущерб от увольнения сотрудника резко уменьшается, если тайна фирмы раздроблена и известна по частям достаточно большому числу служащих. В этом случае не приходится прибегать к указанным выше сложным и часто мало эффективным способам защиты тайны, известной уволенным сотрудникам.

В любом случае рекомендуется по истечении трех месяцев после увольнения направить бывшему сотруднику письмо-напоминание о необходимости сохранения тайны фирмы.

Если руководству фирмы стали известны случаи несанкционированного использования бывшим сотрудником конфиденциальных сведений или ноу-хау фирмы, следует начать активное судебное разбирательство выявленных фактов.

Рассмотренная технология оформления увольнения сотрудников, владеющих ценными и конфиденциальными сведениями, позволит не только повысить ответственность всего персонала за сохранность доверенных им сведений, но и предотвратить факты кражи увольняющимися сотрудниками ценной информации, ограничить возможность использования ее в других организациях и фирмах.